A norma ABNT NBR ISO /IEC 27002 determina um esquema específico para a classificação dos ativos da informação, com base em quatro classes de segurança.

Para definição de uma estratégia de continuidade de negócios, deve-se ter como meta o tempo esperado de recuperação, que, por sua vez, é derivado dos períodos máximos toleráveis de interrupção.

A segurança no descarte de equipamentos de computação e a comunicação seguem as recomendações de normas relativas à reciclagem de resíduos sólidos e, por isso, não está prevista em uma recomendação específica da norma ABNT NBR ISO /IEC 27002.

A importância dos ativos, seu valor para o negócio e a sua classificação de segurança determinam se o ativo da informação deve ser inventariado.

Todos os funcionários, estagiários e terceiros devem seguir as regras para o uso permitido de informações e de ativos associados aos recursos de processamento da informação, sendo que, para os fornecedores, essas regras devem estar explicitadas em cláusulas contextuais específicas.